Go hack yourself or someone else will – detectify.com

To je njihov moto, in sicer je Detectify storitev, ki ugotavlja varnostne pomanjkljivosti spletnih storitev. Je plod petih Švedov, in zadeva zgleda odlično.

V storitev Detectify se prijavimo brezplačno, nato pa imajo na voljo 3 različne plane. Prvi je brezplačen (1 domena naenkrat), druga dva pa plačljiva, in sicer Professional in Enterprise, odvisno od zahtev.

Ko v Dashboardu dodamo domeno je potrebno potrditi lastništvo domene. En način dodajanja domen je preko Google Analytics, kjer smo že potrdili lastništvo, drug pa z vpisom domene in nato z eno od štirih možnosti:

  • CNAME DNS ali TXT DNS vnos
  • CMS plugin
  • Datoteka
  • Meta tag v spletni strani

Za test sem dodal v storitev to domeno, bunic.si, in zagnal test. Po prvem testu je javilo, da je moja stran ranljiva, navedlo je 4 varnostne luknje, 6 varnostnih pomanjkljivosti in 15 pomislekov. Nato pa se je začela prekonfiguracija strani in spletnega strežnika. Po nekaj malega sem prišel na 0 varnostnih lukenj, 2 varnostnih pomanjkljivosti in 12 pomislekov. Kar v redu rezultat.

Po zaključenem skeniranju nas obvestijo o tem po elektronski pošti.

detectify-mail

V mailu nas čaka povezava na bolj detaljno poročilo.

detectify-porocilo

Pri vsakem sklopu poročila si lahko ogledamo pomanjkljivosti, katere se tudi detaljno opisane. Lahko pa tudi vidimo koliko je trajal test po posameznih sklopih.

detectify-scan

Malce si moram še časa vzeti in pregledati celotno poročilo, ter nato popraviti vsaj oba warninga, pa tudi nekaj pomislekov. Nastavljanje Apache strežnika za SSL bo pa opisano kdaj drugič. 🙂